防火墙和入侵检系统在电力企业信息网络中的应用.docVIP

防火墙和入侵检测系统在电力企业信息网络中的应用 摘要：文中通过分析电力企业信息网络的结构和对网络安全的要求，在归纳了防火墙和入侵检测系统在网络中的防御功能的基础上，提出了将防火墙和入侵检测系统运用到电力企业信息网络的具体方案，并对相关技术和网络安全体系的建设进行了讨论。 ?0? 引言??? 当前，电力系统已基本形成了自己的生产过程自动化和管理现代化信息网络，并在实际生产和管理中发挥着巨大的作用。随着全球信息化的迅猛发展，电力系统必将加强与外部世界的信息交流，以提高生产和管理效率，开拓更广阔的发展空间。然而，网络开放也增加了网络受攻击的可能性。与外部网络的连接必然面临外来攻击的威胁。对于关系到国计民生的电力系统而言，网络安全必须作为一个重大战略问题来解决。目前，防火墙技术作为防范网络攻击最基本的手段已经相当成熟，是抵御攻击的第一道防线，入侵检测系统(intrusion detective system，缩写为IDS)作为新型的网络安全技术，有效地补充了防火墙的某些性能上的缺陷，两者从不同的角度以不同的方式确保网络系统的安全。??? 本文首先分析电力企业信息网络的结构，并结合其特点和对网络安全的特殊要求，就如何有效地将防火墙和入侵检测技术运用到电力企业信息网络中进行探讨。?1? 电力系统的信息网络??? 电力系统的信息网络[1]分为两大模块：监控信息系统(supervisory information system，缩写为 SIS)和管理信息系统(management information system，缩写为MIS)。??? SIS对生产现场进行实时监控，从分布在生产现场的许多点采集数据，再由系统中的计算单元进行性能计算、故障诊断等，将结果存放到实时数据服务器，为生产现场实时提供科学、准确的数据，以控制整个生产过程。SIS包括CRT监控系统、DCS(数据通信系统)、FCS(现场总线控制系统)等子系统。??? MIS的功能是实现企业自动化管理，包括若干子系统，分别实现生产经营管理、财务和人事管理、设备和维修管理、物资管理、行政管理等功能。较完善的MIS还包括辅助决策子系统，为管理人员提供智能支持，是企业管理规范化、科学化的基础。??? 目前电力系统的信息网络一般将SIS和MIS分做同一网络中的两个子网，并分别配置服务器，两子网之间用网关连接，如图1所示。????????????????????????? ????DPU(分散过程控制单元)从生产现场采集数并发送到高速数据网供DCS各工作站分析处理，同时为了保证SIS的网络安全，SIS以太网通过网关与MIS服务器连接，作为MIS到SIS的入口并管理MIS对SIS的访问。??? SIS和MIS功能各异，对安全的要求也有所不同。SIS由于与现场生产息息相关，一旦遭到入侵，势必影响生产甚至造成恶性事故，所以其安全性要求更高。现行的网络结构也充分体现了这一特点，对 SIS实施更高级别的保护。??? 当局域网与外部网络连接后，MIS要向外界提供服务，网络面临的威胁将空前广泛、尖锐，这时原有的安全系统显然过于单薄，必须在原有基础上制定更严密、可靠的防御体系。???? 在安全的操作系统基础上，防火墙结合IDS是一种较为理想的解决方案。?2? 防火墙??? 防火墙[2]是防范网络攻击最常用的手段，是构造安全网络环境的基础工程。它通常被安置在内部网络与外部网络的连接点上，将内部网络与外部网络隔离，强制所有内部与外部之间的相互通信都通过这一节点，并按照设定的安全策略分析，限制这些通信，以达到保护内部网络的目的。?2．1? 防火墙的体系结构[3] ??? 构造防火墙时通常根据所要提供的服务、技术人员的技术、工程的性价比等因素采用多种技术的组合，以达到最佳效果。??? 目前常见的防火墙体系结构有以下几种：??? a．双重宿主主机体系结构。在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机，接口分别与内部、外部网络相连，而主机则充当网络之间的路由器。这样，内部、外部网络的计算机之间的IP通信完全被阻隔，只能通过双重宿主主机彼此联系。??? b．屏蔽主机体系结构。这种结构的防火墙由路由器和堡垒主机构成，路由器设置在内部、外部网络之间，实现数据包过滤。堡垒主机设置在内部网络中，外部网络的计算机必须连接到堡垒主机才能访问内部网络。??? c．屏蔽子网体系结构。利用两个路由器(内部路由器和外部路由器)将内部网络保护到更深一层，而在两个路由器之间形成一个虚拟网络，称之为周边网络，堡垒主机连接在周边网络上，通过外部路由器与外部网络相连。这样，如果入侵者突破了外层的防火墙，甚至侵入堡垒主机，内部网络依然安全。?2．2? 电力企业信息网防火墙的